Andre Munhoz Pinto

1 Fevereiro 2017

Ataque ao Sisu, UOL e divulgação de senhas do governo – 2017 começa bem para cibercriminosos

Go to comments Leave a comment

O ano mal começou e três grandes falhas de segurança afetaram a vida de milhões de pessoas em todo o Brasil – saiba como se proteger

O mês de janeiro de 2017 tem tudo para entrar na história como um dos mais movimentados na área de segurança digital no Brasil. Primeiro, o servidor do UOL foi invadido, tendo seu DNS redirecionado a um site de conteúdo adulto, depois o governo acidentalmente divulgou todas as senhas de suas redes sociais no Twitter, e agora dezenas de estudantes inscritos no Sisu (Sistema de Seleção Unificada), tiveram suas senhas alteradas, sendo que alguns deles acabaram tendo suas inscrições modificadas. O que está acontecendo? Cibercriminosos estão ganhando a batalha? O que fazer?

Sisu_3.jpg

Página do Inep onde senha para acessar o Sisu pode ser modificada não roda em https 

Primeiramente, não entre em pânico! Sim, a internet está cada vez mais vulnerável, o que é compreensível devido à complexidade do mundo digital. Mas há maneiras de se manter protegido diante de todos os perigos online. Vamos entender melhor o que ocorreu nesses três casos e depois apontar as melhores maneiras de se proteger.

Divulgação dos dados do governo

No dia 10 de janeiro, um link publicado em uma das contas de Twitter do Palácio do Planalto, levava o usuário a acessar uma planilha do Google Drive que continha todas as senhas de acesso às redes sociais do governo. O erro foi corrigido rapidamente, segundo a assessoria de imprensa do Palácio do Planalto e, aparentemente, o funcionário responsável pelo vazamento teria sido afastado.

Bem, isso mostra o perigo de se manter senhas salvas em algum lugar seja na internet ou papel. Como sabemos, todos somos humanos, e como sabemos ainda mais, humanos são passíveis de erros, como este do governo Federal. Se o funcionário que publicou este link não fez por sabotagem (não há indícios de que este tenha sido o caso), então ele deve ter tentado colar um link de alguma página na internet para divulgar no Twitter e, acidentalmente, copiou e colou o link errado. O que estranha ainda mais é o fato de que esta planilha no Google Drive não filtrava o acesso com uma outra senha. Ou seja, bastava ter o link para qualquer um acessar o seu conteúdo. Isso é um erro cometido por muitos usuários na internet ao tentar guardar seus dados de maneira fácil.

Mudança do DNS do UOL

O DNS, ou Serviço de Nome de Domínio, foi desenvolvido para ajudar as pessoas a não precisarem memorizar os endereços IP usados pelos computadores para se comunicarem uns com os outros. Por exemplo, a maioria das pessoas teria dificuldades em lembrar que 173.194.44.5 é o IP do Google. Portanto, quando um usuário digita google.com em uma barra de endereços, o computador pede a um servidor DNS específico que transforme esse nome num endereço IP.

No caso do UOL, o seu servidor contratado para fazer este serviço foi invadido, e o cibercriminoso foi capaz de redirecionar não somente o DNS do UOL, mas de todos os outros sites cujo DNS está conectado àquele servidor. É o que chamamos de “sequestro de DNS”. Uma dor de cabeça gigantesca para uma empresa como o UOL, que depende de credibilidade e que, neste caso, ao que tudo indica, não teve culpa nenhuma. Na verdade, o site agiu rapidamente, mudando seu servidor de DNS o mais breve possível.

Entretanto, qualquer outro usuário pode vir a ser uma vítima de um sequestro de DNS, inclusive dentro de sua própria casa. Isso porque cibercriminosos podem realizar este tipo de ataque diretamente no roteador doméstico ao mudar o endereço do servidor de DNS do provedor de internet (legítimo) para um servidor de DNS malicioso, mantendo, por exemplo, o nome na barra de endereço igual ao legítimo, mas com uma numeração diferente (não visível) em segundo plano. Se for feita essa alteração, o usuário não poderá mais ter certeza de que a página que está abrindo é a correta. O nome digitado poderá apontar para um IP e servidor completamente diferentes, normalmente controlado por um cibercriminoso, onde ele pode ter criado um site falso, mas que pareça exatamente igual ao legítimo. Se o usuário estiver visitando sites sem proteção de HTTPS, não irá nem notar diferença alguma.

Portanto, aí esta a necessidade de se ter senhas fortes em seu roteador, já que a grande maioria vem com a senha original de fábrica. Diferentemente do que ocorreu no caso do governo Federal, procure sempre criar senhas longas, com letras maiúsculas e minúsculas, números e caracteres especiais. Não utilize essa senha em outros lugares e evite utilizar seu próprio nome ou endereço físico na senha. Como isso é quase humanamente impossível para fazer com tantas contas e senhas que precisamos memorizar atualmente, o ideal é ter um aplicativo como o Avast Senhas, que cria e criptografa senhas novas automaticamente para o usuário, que precisará memorizar somente uma senha, a de acesso ao aplicativo.

Outra dica é utilizar um antivírus que possua um recurso de escaneamento do roteador e não somente do PC. No caso da Avast, a função Home Security Network faz este trabalho.

Ataque ao Sisu 

Assim como no caso do governo Federal e do sequestro de DNS, mais uma vez o vilão aqui é a senha do usuário, mas a diferença é que está muito fácil de ter acesso à senha de qualquer pessoa inscrita no Sisu. Isto porque, este ano, o MEC decidiu modificar a maneira que estudantes recuperam suas senhas. Até então, era necessário a utilização da chamada “verificação de duas etapas”. Ou seja, o usuário realizava a mudança no site do Sisu e depois confirmava o mesmo em seu e-mail.

Em 2017, partiu-se da premissa de que bastava o usuário fornecer dados pessoais que teoricamente ninguém mais poderia ter acesso, como nome completo, CPF, endereço e nome dos pais, para mudar a senha de acesso ao portal. Ledo engano.

Existem milhões de redes sociais por aí em que usuários publicam seus nomes completos, endereço, nome de familiares, etc. Já o CPF pode ser facilmente encontrado em outros sites atacados ou até mesmo em base de dados roubados online e vendidos na internet. E se o usuário foi vítima de algum ataque de engenharia social, como por exemplo, via phishing, em que ele é enganado a fornecer este tipo de informação através de um e-mail falso que promete dinheiro ou que o ameaça de processo judicial, então o acesso ao CPF fica ainda mais fácil.

Mas não é só isso. Um outro perigo grave se identifica no site do Enem onde a mudança de senha do Sisu pode ser feita: este site roda em HTTP. Ou seja, se o candidato foi vítima de um sequestro de DNS, o cibercriminoso pode criar um site do Sisu igual ao original e levar o usuário a entrar sua senha de acesso ao portal em um site falso. Sem a proteção extra de segurança, vítimas nem perceberão que estão acessando um site falso.

Além do mais, a criação da senha é limitada a 10 caracteres (quando a recomendação, no geral, é que ela seja de no mínimo 12), e a mesma senha pode ser usada em outros sites do Enem. A única medida de segurança adotada pelo MEC foi exigir uma senha diferente este ano da que a que foi usada ano passado, mas isso é o mesmo que fechar uma porteira com um cadeado novo e deixar a nova chave em cima do muro ao lado. Se o ladrão for esperto, ele acha a nova chave rapidamente.

Portanto, resumindo, há cinco passos essenciais para evitar cair nesses tipos de golpes online:

  • Senha forte: sempre utilize uma senha longa e diferente em cada site que você fizer qualquer registro de dados pessoais – utilize um gerenciador de senhas para auxiliá-lo neste processo;
  • Cuidado nas redes sociais: compartilhar demais é perigoso. Verifique a configuração de privacidade em suas contas nas redes sociais e procure sempre mantê-las protegidas;
  • Escaneie seu roteador: não basta apenas escanear seu PC em busca de malwares e vírus, pois um cibercriminoso pode também atacar seu roteador, sequestrar seu DNS e leva-lo a sites falsos. Faça isso com a ajuda de um antivírus;
  • Utilize VPN em internet pública: é necessário criptografar seus dados quando estiver em uma lan house ou utilizando uma internet em locais públicos, pois sem isso se aquela rede for hackeada, todos os seus dados poderão ser acessados pelo criminoso. Utilize sempre uma VPN (Rede Virtual Privada) nesses casos.
  • Cuidado com ataques de engenharia social: se alguém lhe enviou um e-mail pedindo seus dados pessoais e prometendo dinheiro ou ameaçando de lhe processar ou levar seu nome para, por exemplo, o “Serasa”, desconfie. Dados pessoais não devem nunca ser compartilhados online.

Atualizado em 2 de fevereiro de 2017 às 6:50 para trocar o termo hacker por cibercriminoso. Embora este termo tem sido usado historicamente para se referir a pessoas que realizam ataques online, sabemos que originalmente foi criado para se referir a profissionais na área de TI.